Jaringan manajemen. Praktik terbaik: VLAN besar atau antarmuka yang diarahkan

13

Kami akan menyebarkan jaringan kampus dengan sekitar 50 sakelar (Core, Agg, Access). Beberapa dari mereka akan menjadi L2 (20), dan yang lain akan menjadi L3 (30). Kami sedang memikirkan cara mengelola perangkat ini:

  1. VLAN besar di semua sakelar. Mudah digunakan, mudah digunakan, tetapi domain siaran L2 besar.
  2. Manajemen VLAN untuk switch L2. Untuk mengakses sakelar inti dan agregasi, gunakan antarmuka yang diarahkan (atau SVI).

Apa yang ingin Anda gunakan di jaringan Anda?

cisco Эдуард Буремный
sumber
8
Saya tidak bisa membayangkan skenario di mana satu VLAN yang mencakup 50 switch bisa dianggap sebagai keputusan desain yang baik. Ini bukan kasus jika, tetapi ketika, seseorang akan membuat loop pada VLAN itu dan mengunci Anda dari setengah dari switch Anda dalam sekejap.
jwbensley
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

5

Seperti yang Anda katakan, itu penting pada berapa banyak perangkat yang kita bicarakan, tetapi selain itu, apa yang harus Anda hindari jika mungkin hanya memiliki manajemen "in-band" perangkat Anda. Anda tidak ingin lalu lintas manajemen Anda mengendarai jaringan yang sama dengan lalu lintas produksi Anda. Jika tidak semua switch Anda memiliki antarmuka Ethernet yang terpisah untuk manajemen, itu bagus, tetapi hampir setiap peralatan di luar sana memiliki beberapa bentuk konsol serial. GUNAKAN. Terutama sebagai cadangan untuk manajemen in-band. Ini akan menghemat pantat Anda jika perangkat jatuh dari planet ini. Saya juga menyarankan menggunakan sepenuhnya terpisahinfrastruktur fisik untuk konektivitas manajemen ke peralatan Anda. Ini berlaku dua kali lipat untuk akses konsol serial. Jika Anda menggunakan salah satu antarmuka di sakelar (itu bukan antarmuka manajemen khusus), itu juga bukan masalah besar, selama Anda memiliki jaringan terpisah untuk menghubungkannya.

Perangkat 50 tidak terlalu masuk akal dari jejak untuk menggunakan VLAN tunggal (sekali lagi, dengan asumsi Anda tidak melakukan manajemen in-band) dan memiliki satu domain siaran - Anda mungkin mencoba untuk mengoptimalkan terlalu dini pada tahap ini. Jika switch inti Anda adalah kotak modular maka mereka harus memiliki antarmuka manajemen Ethernet - saya akan menyarankan Anda untuk menggunakannya daripada SVI atau antarmuka fisik yang dialihkan.

sunting: preferensi pribadi saya pada dasarnya menguraikan apa yang saya sarankan di atas: selalu konsol serial. Gunakan antarmuka manajemen Ethernet khusus jika berlaku. Jika antarmuka manajemen Ethernet khusus tidak tersedia, maka bakar port fisik pada kotak, tetapi selalu selalu merupakan jaringan yang terpisah, untuk konsol seri minimum absolut.

John Jensen
sumber
Sebagai contoh, saya memiliki SUP7L-E untuk sasis 4500E. Sup ini memiliki port manajemen Ethernet khusus. Apa yang harus saya lakukan untuk mengelola perangkat: akses melalui SVI atau hubungkan port mgmt ini ke port LineCard di VLAN manajemen. Varian terakhir sepertinya aneh, bagi saya.
Эдуард Буремный
Maaf, saya kira saya harus mengklarifikasi - harus ada jaringan fisik yang benar-benar terpisah yang digunakan untuk mengelola kit Anda. Saya akan mengubah jawaban saya sekarang.
John Jensen
3

Ini benar-benar tergantung pada jaringan, tetapi saya akan condong ke VLAN L2. Sementara beberapa telah menyatakan keprihatinan tentang loop pada VLAN, tetapi dalam 12 tahun pada jaringan besar, saya belum pernah melihat loop dibuat pada VLAN manajemen jaringan.

Bukan untuk mengatakan itu tidak bisa terjadi, tetapi umumnya orang yang cukup tahu untuk mengatur VLAN manajemen umumnya cukup tahu untuk tidak menyebabkan loop pada jaringan. Sebagian besar loop yang saya temui adalah pada pengguna VLAN di mana pengguna akhir terhubung / mengkonfigurasi sesuatu secara tidak benar atau ketika admin server salah mengkonfigurasi agregasi / redundansi pada server mereka atau salah mengkonfigurasi lingkungan VM.

Pindah ke pendekatan L3 tidak menghindari masalah tertentu, tetapi juga mudah untuk mengacaukan jaringan yang dirutekan juga. Ya, Anda dapat mengambil tindakan pencegahan, tapi saya tetap dengan KISS ketika saya bisa dan routing lebih kompleks daripada beralih. Haruskah kita mulai mendaftar insiden besar yang telah terjadi karena masalah routing yang diperkenalkan ke internet?

Pada akhirnya, seperti yang ditunjukkan oleh John Jensen, Anda harus memiliki sistem manajemen OOB juga, namun saya biasanya akan menyebutnya sebagai cadangan untuk manajemen in-band. Secara umum saya tidak merekomendasikan mengubah pengaturan kecepatan pada port konsol (ketika datang ke situasi pemulihan, harus mencari tahu apakah port konsol default, diubah atau diubah secara tidak benar dapat menyusahkan), dan bahkan pada 115k baud, konsol port bisa terlalu lambat (dan banyak vendor default ke 9600 baud).

YPelajari
sumber
Apakah VRF mengurangi kekhawatiran Anda menggunakan L3? Apa kelebihan lain untuk melakukan L2 dibandingkan L3 di sini. Saya tidak akan berpikir Anda ingin L2 membentang di jaringan besar.
generalnetworkerror
1

Saya akan menggunakan VLAN manajemen terpisah seperti yang sudah dinyatakan rekan kami, lalu lintas vlan sebanyak yang diperlukan. Selain itu saya akan lebih berhati-hati bagaimana Anda akan menghubungkan semua switch ini, versi perangkat lunak apa yang berjalan pada setiap perangkat (Anda harus yakin Anda menjalankan versi stabil dan yang paling utama tahu ada bug yang dilaporkan), kemudian rencanakan hal-hal lain: bagaimana Anda mengkonfigurasi trunk, etherchannels, dan tentu saja "STP".

laf
sumber